Schwachstelle bei Online-Personalausweis ermöglicht Identitätsdiebstahl
Ein IT-Sicherheitsforscher hat eine Schwachstelle in der eID-Funktion des deutschen Personalausweises aufgedeckt, wie der Spiegel berichtet. Die Opfer bekommen demnach von einem Angriff nichts mit – die Folgen könnten weitreichend sein.
Bei jedem seit Mitte 2017 ausgestellten Personalausweis ist die Online-Funktion bereits aktiviert. Sie lässt sich beispielsweise für Online-Behördengänge nutzen; aber auch einige Krankenkassen und Banken akzeptieren eine Identitätsprüfung über den Online-Ausweis.
Auf dem “Personalausweisportal” listet das Bundesinnenministerium (BMI) insgesamt 250 Anwendungen auf, die eine Anmeldung mittels eID-Funktion unterstützen. Darunter sind Sparkassen, Anmeldungen für die elektronische Patientenakte, aber auch ein digitaler Hotel-Check-in. Jugendliche benötigen die Online-Funktion sogar, um sich für den sogenannten “KulturPass” anzumelden, bei dem sie 200 Euro für kulturelle Angebote vom Staat erhalten.
Laut dem Spiegel-Bericht ist die eID-Funktion bei 56 Millionen Menschen in Deutschland aktiviert. Genutzt wurde sie lange aber nur wenig.
Manipulierte App stiehlt PIN
Wie der Spiegel nun berichtet, hat ein Sicherheitsforscher, der unter dem Pseudonym “CtrlAlt” auftritt, für seinen Angriff eine Smartphone-App geschrieben. Diese kann den sechsstelligen PIN-Code mitschneiden, den Nutzerinnen und Nutzer auf ihrem Handy eingeben müssen, wenn sie sich mit der eID-Funktion identifizieren wollen.
Voraussetzung für den Angriff ist, dass die manipulierte App auf dem Smartphone eines Opfers läuft. Das könnte erreicht werden, indem eine manipulierte App in Umlauf gebracht wird, die vorgibt, eine andere App zu sein oder eine andere Aufgabe zu übernehmen: Erst vor wenigen Tagen hatte beispielsweise der Entwickler eines bekannten Passwortmanagers eine Warnung veröffentlicht, weil zeitweise eine manipulierte Kopie seiner App im Appstore von Apple zu finden war.
Ist eine solche manipulierte App installiert, kann diese sich statt der offiziellen eID-App öffnen, wenn eine Nutzerin oder ein Nutzer eine eID-Anwendung nutzt und dazu den Personalausweis an das Smartphone hält. So kann ein Angreifer die PIN und die Identität des Online-Ausweises abgreifen.
Mit diesen abgefangen Daten könne ein Angreifer sich dann auch bei anderen eID-Diensten anmelden – das Opfer bekommt davon nichts mit. “CtrlAlt” sei es so gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen, schreibt der Spiegel.
“Realistisches Angriffsszenario”
Dem Bericht zufolge hat “CtrlAlt” das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 31. Dezember 2023 über seine Erkenntnisse informiert. Das BSI habe sein Vorgehen geprüft und ihm bestätigt, seine Dokumentation sei “technisch in nahezu jedem Aspekt korrekt”.
In einer Stellungnahme vom Freitag erklärte die Behörde, sie sehe “keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion”. Und weiter: “Aus Sicht des BSI ist die Online-Ausweisfunktion weiterhin die sicherste Möglichkeit für Bürgerinnen und Bürger sich digital auszuweisen.”
Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hält den beschriebenen Weg für “ein realistisches Angriffsszenario”. Er hat das Vorgehen des Sicherheitsforschers für den Spiegel nachvollzogen und bestätigt, dass es sich um einen anfälligen Punkt im eID-Verfahren auf mobilen Geräten handle. Neumann sagte: “Es muss verhindert werden, dass sich eine andere als die offiziell zugelassene AusweisApp im Handy für eID-Authentifizierungen registrieren und einklinken kann.”
Das Probleme gehe aber über das eID-Verfahren hinaus. “Ähnliche Angriffe sind auch auf TAN-Verfahren bei Banken denkbar”, so Neumann weiter.
Das BSI vertritt den Standpunkt, es handle sich “nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen”, sondern vielmehr um einen Angriff auf das mobile Endgerät der Nutzer. Die Behörde prüfe aber, “mit welchen zusätzlichen Maßnahmen” die Nutzung der Online-Ausweisfunktion sicherer gestaltet werden könne.
Sperren lässt sich die Online-Ausweisfunktion über die gebührenfreie Sperr-Hotline 116 116. (dpa / js)